Güvenlik araştırmacıları, saldırganların tehlikeye atılmış ağlarda uzun vadeli kalıcılık kurmasına olanak tanıyabilecek Microsoft’un Active Directory Sertifika Hizmetleri’nde (AD CS) kritik güvenlik açıkları ortaya çıkardı.
Will Schroeder ve Lee Christensen tarafından hazırlanan kapsamlı bir teknik raporda ayrıntılı olarak açıklanan bulgular, AD CS yanlış yapılandırmalarının kimlik bilgisi hırsızlığı, ayrıcalık yükseltme ve etki alanı kalıcılığı için nasıl kullanılabileceğini ortaya koyuyor.
Microsoft’un Active Directory ortamlarında Açık Anahtar Altyapısı (PKI) uygulaması olan AD CS, yaygın olarak kullanılmaktadır ancak güvenlik açısından sıklıkla göz ardı edilmektedir.
Microsoft, Active Directory Sertifika Hizmetleri’ni (AD CS) “kuruluşunuz için ortak anahtar altyapısı (PKI) oluşturmanıza ve ortak anahtar şifrelemesi, dijital sertifikalar ve dijital imza yetenekleri sağlamanıza olanak tanıyan sunucu rolü” olarak tanımlar.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Araştırmacılar, “AD CS Enterprise CA’ları sertifika şablonları tarafından tanımlanan ayarlarla sertifikalar yayınlar. Bu şablonlar, kayıt politikaları ve önceden tanımlanmış sertifika ayarlarının koleksiyonlarıdır ve “Bu sertifika ne kadar süreyle geçerlidir?”, “Sertifika ne için kullanılır?”, “Konu nasıl belirtilir?”, “Kim sertifika talep edebilir?” ve diğer sayısız ayar gibi şeyler içerir,” diye ekledi.
Araştırmacılar, AD CS bileşenlerini kullanan çeşitli saldırı vektörlerini tespit etti:
- Sertifika Hırsızlığı: Saldırganlar, özel anahtarları da dahil olmak üzere kullanıcı ve makine sertifikalarını tehlikeye atılmış sistemlerden çıkarabilir. Bu, kimlik doğrulama amaçları için kullanıcıların ve makinelerin taklit edilmesine olanak tanır.
- Kötü Amaçlı Sertifika Kayıtları: Düşük ayrıcalıklı kullanıcılar, daha yüksek ayrıcalıklar sağlayan sertifika şablonlarına kaydolabilir ve bu da etki alanı yükseltmesine yol açabilir.
- Sertifika Şablonu Yanlış Yapılandırmaları: İstek sahiplerinin Konu Alternatif Adları (SAN’lar) belirtmelerine izin verme gibi belirli şablon ayarları, yöneticiler de dahil olmak üzere etki alanındaki herhangi bir kullanıcı için sertifika istemek amacıyla kötüye kullanılabilir.
- EDITF_ATTRIBUTESUBJECTALTNAME2 Bayrağı: Bir Sertifika Yetkilisi (CA) üzerinde etkinleştirildiğinde, bu ayar saldırganların sertifika isteklerinde keyfi SAN’lar belirtmelerine olanak tanır ve bu da ayrıcalık yükselmesine yol açabilir.
- CA Özel Anahtar Hırsızlığı: Bir CA’nın özel anahtarının ele geçirilmesi, saldırganların etki alanındaki herhangi bir yetkili için sertifikaları taklit etmesini ve kolayca iptal edilemeyen kalıcı erişim sağlamasını mümkün kılar.
En ciddi senaryolardan biri yanlış yapılandırılmış sertifika şablonlarını istismar etmeyi içerir. Bir şablonun talep edenlerin SAN’ları belirtmelerine izin verdiğini ve etki alanı kimlik doğrulamasına izin veren bir Genişletilmiş Anahtar Kullanımı’na (EKU) sahip olduğunu varsayalım. Bu durumda, bir saldırgan etki alanı yöneticileri de dahil olmak üzere herhangi bir kullanıcı için bir sertifika talep edebilir. Bu, saldırgana etkili bir şekilde etki alanı yönetici ayrıcalıkları verir.
Araştırmacılar, AD CS yanlış yapılandırmalarını saymak ve kötü amaçlı sertifikalar talep etmek için bir Certify aracı geliştirdiler. Başka bir araç olan ForgeCert, saldırganların çalınan bir CA özel anahtarı kullanarak sahte sertifikalar oluşturmasına olanak tanır.
Bu riskleri azaltmak için kuruluşların şunları yapması gerekir:
- CA sunucularını, etki alanı denetleyicileriyle aynı güvenlik önlemlerini uygulayarak 0. Kademe varlıklar olarak ele alın.
- Özellikle SAN spesifikasyonu ve kayıt izinleriyle ilgili sertifika şablonu ayarlarını denetleyin ve güçlendirin.
- CA’larda EDITF_ATTRIBUTESUBJECTALTNAME2 bayrağını devre dışı bırakın.
- Sertifika kimlik doğrulaması için sıkı kullanıcı eşlemeleri uygulayın.
- Donanım güvenlik modüllerini (HSM’ler) kullanarak CA özel anahtarlarını koruyun.
- Sertifika kayıtlarını, kimlik doğrulamalarını ve şablon değişikliklerini izleyin.
Araştırmacılar, AD CS’nin doğası gereği güvensiz olmadığını, ancak karmaşıklığı ve sıklıkla yanlış anlaşılan yapısının onu yanlış yapılandırmalara yatkın hale getirdiğini vurguluyor. Bu güvenlik açıklarının çoğu, çeşitli AD CS ayarlarının güvenlik etkilerine ilişkin farkındalık eksikliğinden kaynaklanıyor.
Kuruluşlar kimlik doğrulama ve şifreleme için giderek daha fazla PKI’ya güvendikçe, AD CS dağıtımlarını anlamak ve uygun şekilde güvence altına almak hayati önem taşır. Bunu yapmamak, ağları tespit edilmesi ve düzeltilmesi zor olan karmaşık kalıcılık tekniklerine karşı savunmasız bırakabilir.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin